חוקרי סייבר טוענים שמצאו ראיות לכך שהאקרים המזוהים עם כנופיית הכופרה Cuba ransomware השתמשו לאחרונה במהלך מתקפות כופרה, בדרייברים זדוניים שאושרו על ידי מיקרוסופט. דרייברים הינם מנהלי התקנים המאפשרים למערכות הפעלה ולתוכנות לגשת לחומרה ולתקשר עימה. גישה זו ייחודית למערכת ההפעלה ולנתונים שלה וזו הסיבה ש- Windows דורשת ממנהלי התקנים לשאת חתימה קריפטוגרפית מאושרת לפני שהיא תאפשר למנהל ההתקן להיטען.
מנהלי התקנים כאלו נוצלו זה מכבר על ידי פושעי סייבר אשר לעתים קרובות מנצלים נקודות תורפה שנמצאו בתוך דרייבר קיימים של Windows – דרייברים אשר מהווים חלק מתוכנות לגיטימיות. חוקרי סייבר בחברת Sophos טוענים שהם צפו בהאקרים עושים מאמץ משותף להתקדם בהדרגה לעבר שימוש בתעודות דיגיטליות מהימנות יותר. Sophos גילתה ראיות לכך שכנופיית תוכנות הכופרה Cuba ransomware המקושרת לרוסיה, עושה מאמצים להתקדם בשרשרת האמון וכי הדרייברים הזדוניים הוותיקים ביותר של הכנופיה מחודש יולי היו חתומים על ידי אישורים של חברות סיניות ולאחר מכן החלו להחתים את הדרייברים הזדוניים שלהם עם תעודת Nvidia שדלפה (ונשללה מאז), שנמצאה בנתונים שהודלפו על ידי כנופיית הכופרה Lapsus$ כאשר זו פרצה ל- Nvidia בחודש מרץ השנה.
ההאקרים הצליחו כעת להשיג "חתימה" ממפתחים רשמיים של מיקרוסופט, מה שאומר שהנוזקה שלהם היא כעת מהימנה על כל מערכת Windows. חתימות של מפתח תוכנה גדול ואמין מגדילות את הסיכוי שהדרייבר ייטען ל- Windows ללא הפרעה ומשפרות את הסיכויים שכנופיית הכופרה Cuba ransomware תוכל להפסיק את תהליכי האבטחה המגינים על מחשבי היעד שלהם.
Sophos גילתה כי כנופיית הכופרה Cuba ransomware שותלת את הדרייבר הזדוני במערכת הקורבן באמצעות גרסה של מה שנקרא BurntCigar loader – מרכיב ידוע של נוזקות הקשורות לכנופיית הכופרה. השניים מתפקדים במקביל בניסיון להשבית כלי אבטחה לזיהוי נקודות קצה במחשבי היעד. Sophos, יחד עם חוקרי סייבר מחברת Mandiant וחברת SentinelOne הודיעו למיקרוסופט באוקטובר שדרייברים מאושרים על ידי תעודות לגיטימיות היו בשימוש זדוני בפעילות שלאחר פריצה למערכות מחשוב. החקירה של מיקרוסופט עצמה גילתה שמספר חשבונות מפתחים עבור מרכז השותפים של מיקרוסופט עסקו בהגשת דרייברים זדוניים כדי להשיג חתימה של מיקרוסופט. מיקרוסופט אמרה שהיא פרסמה עדכוני אבטחה של Windows המבטלים את האישור עבור קבצים מושפעים והשעתה את חשבונות המכירה של השותפים החשודים.
מוקדם יותר החודש, נחשף בפרסום של ממשלת ארה"ב כי כנופיית הכופרה Cuba ransomware הכניסה 60 מיליון דולר נוספים מהתקפות נגד 100 ארגונים ברחבי העולם. הפרסום הזהיר כי קבוצת הכופרה הפעילה מאז 2019, ממשיכה להתמקד בגופים בארה"ב בתשתיות קריטיות, כולל שירותים פיננסיים, מתקנים ממשלתיים, שירותי בריאות ובריאות הציבור, ייצור קריטי וטכנולוגיית מידע.
